Skip to main content

Dropbox: unsicher durch Design?

Die fundamentale Sicherheit des Dropbox-Cloud-Speicherdienstes wurde von einem Forscher in Frage gestellt.

Dropbox ist ein Aushängeschild für das entstehende Cloud-Speicherfeld und gehört zu den beliebtesten Clouds Speicherdienste. Es funktioniert, indem Sie einen speziellen Ordner auf der Festplatte Ihres Computers hinzufügen. Alle hinzugefügten Dateien werden automatisch in den Cloud-Speicherbereich von Dropbox hochgeladen, und Sie können Dropbox auf einer Vielzahl von Computern und mobilen Geräten installieren, wodurch Dateien auf allen ihren Geräten synchronisiert werden. Darüber hinaus kann Dropbox als Cloud-Backup-Dienst fungieren, wenn nur auf einem Computer installiert.

Das Sicherheitsproblem bezieht sich auf das Dropbox-Client-Programm und darauf, wie es Benutzer authentifiziert, dh wie jeder Computer der Dropbox-Cloud entspricht Zugriff auf die Dateien eines Benutzers.

[Weiterführende Literatur: Beste NAS-Boxen für Medien-Streaming und Backup]

Der Sicherheitsforscher Derek Newton hat herausgefunden, dass die Authentifizierung auf einem einzigen, unveränderlichen Hash-Code beruht, der den Computer identifiziert , ein Dampf hexadezimaler Zeichen. Jeder, der diesen Hash-Wert aufdeckt, der als reiner Text auf der Festplatte des Benutzers gespeichert ist, kann die Dropbox-Dateien eines Benutzers auf einem beliebigen Computer synchronisieren, ohne dass ein Benutzername oder eine Kennworteingabeaufforderung angezeigt wird. Der Benutzer wird diesen Drittanbieterzugriff nicht bemerken, es sei denn, er überprüft online, welche Computer auf sein Konto zugreifen.

Auch wenn der Benutzer sein Passwort ändert, fährt Newton fort, der Hash funktioniert weiter. Daher reicht das Stehlen des Hash für lebenslangen Zugriff auf das Konto dieses Benutzers aus, es sei denn, der Hash-Code wird zurückgezogen, wodurch der Benutzer den Computer enthoben würde, dessen Hash-Code kompromittiert wurde. Etwas, das nicht einfach oder bequem ist Experten schlagen vor, dass ein Hash-Code wie dieser für jeden Computer einzigartig sein sollte, so dass er nicht portabel ist. Dies kann durch Berechnung des Codes auf der Grundlage eines eindeutigen Aspekts jedes Computers geschehen, beispielsweise des seriellen CPU-Codes oder der MAC-Adresse des Netzwerkgeräts. Dieser Hashwert wurde vom Dropbox-Client bei jedem Start des Clients auf die Hardware überprüft, um sicherzustellen, dass der Computer wirklich Zugriff hatte.

Solche Methoden zur spezifischen Identifizierung von Computern führen jedoch bei einigen Befürwortern des Online-Datenschutzes zu Bestürzung.

Was macht die Entdeckung, schlimmer, behauptet Newton, ist, dass die Sicherheitslücke offenbar durch das Design da ist. Die Dropbox-Ingenieure betrachten diesen angemessenen Schutz für Benutzer.

Dropbox hat darauf hingewiesen, dass ein Hacker Zugriff auf den Computer eines Benutzers erlangen müsste, damit der Angriff funktioniert. An diesem Punkt "ist der Sicherheitsschlacht bereits verloren", sagen sie, weil der Hacker Zugang zu jeder Datei auf dem Computer haben würde. Sie vergleichen es damit, Session-Cookies von einem Web-Browser zu stehlen, um sich als Benutzer auszugeben, obwohl sie hinzufügen, dass "Maßnahmen ergriffen werden können, um es schwieriger (wenn auch nicht unmöglich) zu machen, Zugang zu bekommen ... was wir betrachten werden die Zukunft. "

Außerhalb von Hack-Angriffen gibt es ein enormes Potenzial, den Hash-Code zu verwenden, um Dropbox-Benutzer auszuspionieren. Greifen Sie einfach auf den Computer eines Benutzers zu, wenn er nicht in der Nähe ist (vielleicht, während er eine Tasse Kaffee ergreift), stehlen Sie seinen Dropbox-Hash-Code und Sie können überwachen oder herunterladen, was sie hinzufügen und entfernen Dropbox-Konto jederzeit.

Außerdem können Hacker, die Trojaner oder Keylogger installieren, den Hash-Code als Teil eines umfassenderen Angriffs nutzen und, wenn ihre illegale Software entdeckt und entfernt wird, damit weiterhin auf die Cloud des Opfers zugreifen Dateien.

Obwohl die meisten von uns unsere Online-Passwörter ändern, nachdem sie gehackt wurden, wie viele erkennen, dass das Zurücksetzen von Dropbox auch notwendig ist? (Das Zurücksetzen würde den Computer aus der Liste der bekannten Geräte von Dropbox entfernen und den gleichen Computer erneut hinzufügen, wodurch ein neuer Hash-Code erzeugt würde; dies würde wahrscheinlich das Synchronisieren aller Dateien von Grund auf beinhalten.)

Ob es sich um einen Fehler handelt, ist eine Frage der Meinung. Newton sagt, die einzige Möglichkeit, Dropbox mit Sicherheit zu nutzen, ist die manuelle Verschlüsselung aller dort gespeicherten Daten, was aber den Vorteil des Drag-and-Drop von Dateien in und aus dem Dropbox-Ordner zunichtemacht.

Das ganze Problem zeigt, wie Cloud-Softwareentwickler handeln häufig aus Sicherheitsgründen mit Komfort - die Anmeldung von Benutzern bei jedem Start in ihrem Dropbox-Konto würde Dropbox deutlich weniger attraktiv machen, aber das Erstellen von dauerhaften, problemlosen Anmeldungen für Cloud-Dienste ist eine schwierige Aufgabe. Solche Probleme sind noch eine Hürde, die Cloud-Dienste umgehen müssen, um das Vertrauen der Nutzer zu gewinnen.

Eine interessante Diskussion über die Auswirkungen von Newtons Entdeckung findet sich im Kommentarbereich seines Blogbeitrags, wo verschiedene Sicherheitsexperten abwägen mit ihrer Meinung.